× Aidez la recherche contre le COVID-19 avec votre ordi ! Rejoignez l'équipe PC Astuces Folding@home
 > Tous les forums > Forum Sécurité
 Infection par trojan Zbot et pup optionnelSujet résolu
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
bernie50
  Posté le 07/01/2015 @ 14:18 
Aller en bas de la page 
Astucien

Bonjour,

Suite a un appel d'un ami qui se plaignait qu'il avait reçu un mail de ma part que je lui avais transféré et supposé infecté, j'ai effectué un contrôle Mbam qui signale une infection par trojan ZBOT et pup optionnell sur win 7 compte limité,

a noter qu'après nettoyage par mbam, j'ai retrouvé l'infection pup optionnell sur le compte admin qui a été également nettoyée par Mbam

Enfin j'ai déjà été infecté par pup optionnell il y a un mois suite à un clic sur un faux lien java au cas ou cela aurait un rapport

https://forum.pcastuces.com/infection_suite_mise_a_jour_flash_player-f25s73455.htm?page=1&#5164727

Je joins le rapport et effectue un contrôle avec Adwcleaner

merci de votre aide



Modifié par bernie50 le 07/01/2015 16:16
Publicité
bernie50
 Posté le 07/01/2015 à 14:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Fichier joint : Examen mbam.txt

bernie50
 Posté le 07/01/2015 à 14:27 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Fichier joint : AdwCleaner[R1].txt

bernie50
 Posté le 07/01/2015 à 14:27 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Fichier joint : AdwCleaner[S1].txt

bernie50
 Posté le 07/01/2015 à 14:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Fichier joint : ZHPDiag.txt

bernie50
 Posté le 07/01/2015 à 14:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bjr

Les 4 rapports sont en ligne

La quarantaine de MBam a été purgée



Modifié par bernie50 le 07/01/2015 15:10
Sainthelens
 Posté le 07/01/2015 à 14:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour,

D'accord avec Toi

Pierre95
 Posté le 07/01/2015 à 15:03 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour Bernie50 et SaintHelens,

Je suis d'accord avec vous, le rapport ZHPDiag montre qu'il n'y a apparement plus d'infection.

Toutefois ce qui m'interpelle, c'est la menace trojan ZBot ou Trojan Zeus particulièrement dangereuse et furtive: de la vraie mer

http://www.commentcamarche.net/faq/21642-zbot-zeus-trojan-banker-win32-bancos

http://fr.wikipedia.org/wiki/Zeus_%28cheval_de_Troie%29

Je te conseille vivement de changer tous tes mots de passes, de ne pas utiliser ta carte bancaire sur Internet.

Attends un membre du Groupe Sécurité ou une pointure comme Australien pour faire d'autres investigations

Pierre

bernie50
 Posté le 07/01/2015 à 15:31 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonjour,

Ok, en effet, on attend donc l'avis d'un expert.

PS: le fichier zip avec Zbot était dans C:\Recycled



Modifié par bernie50 le 07/01/2015 16:17
Publicité
Anonyme
 Posté le 07/01/2015 à 22:03 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Bonsoir.

je pense que la bestiole est morte, mais pour confirmation....

A partir du compte "Bernard"

1)

image Restauration système sous Windows 7

  • Créez un point de restauration système que vous nommez : Avant KVRT
  • Aide en images

.

.

2)

image Kaspersky Virus Removal Tool (de Kaspersly Lab)

  • Téléchargez et enregistrez Kaspersky Virus Removal Tool sur votre ordinateur.
  • Double cliquez sur le setup.exe téléchargé pour lancer l'installation.
  • Le programme va décompresser ses fichiers, patientez pendant l'opération....
  • Dans la fenêtre d'installation cochez " J'accepte le contrat de licence" et cliquez sur "Démarrer l'application".



    image

  • L'application démarre, patientez pendant l'opération....



    image

  • Aprés avoir effectué l''installation, dans l'interface de l'utilitaire cliquez sur la roue crantée en haut à droite.
  • Dans le volet gauche sélectionnez "Zone d'analyse" et dans le volet droit cochez toutes les cases.



    image

  • Ensuite dans le volet gauche sélectionnez "Niveau de protection" et dans le volet droit cliquez sur le bouton "Configuration".



    image

  • Dans la fenêtre de configuration vous sélectionnez l'onglet "Avancé"
  • Montez le curseur de l'analyse heuristique sur la position "Minutieuse"et cochez toutes les cases.
  • A l'issue cliquez sur "OK" pour fermer la fenêtre.



    image

  • Assurez vous que l'ordinateur soit sur tension et qu'il ne se mette pas en veille.
  • L'analyse qui suit peut durer de une à plusieurs heures.Ne faites rien d'autre avec l'ordinateur.
  • Cliquez maintenant sur l'onglet principal "Analyse automatique" et sur "Lancer l'analyse".



    image

  • L’analyse automatique réalisera la recherche de tous les virus connus, des rootkits, des trojans et des vers.
  • Si le programme demande l'accord de l'utilisateur pour une Réparation, Suppression, Quarantaine...Acceptez !
  • A la fin de l'analyse refusez l'éventuelle proposition commerciale de Kaspersky en cliquant sur "Ne pas installer".



    image

  • Aucune menace n'a été identifiée.
  • Fermez la fenêtre principale de l’outil en cliquant sur la croix rouge en haut à droit de la fenêtre



    image

  • Menace découverte. Cliquez sur l'onglet "Rapport" en haut droite.



    image

  • Dans le volet gauche sélectionnez "Menaces détectées", dans le volet droit "Toutes les menaces détectées" et cliquez sur "Exporter".



    image

  • Enregistrez ce rapport sur votre bureau en lui donnant comme nom "kaspersky.txt".
  • Postez le contenu du rapport par copier/coller.





Australien

@ demain surement



Modifié par Anonyme le 07/01/2015 23:52
Evasion60
 Posté le 07/01/2015 à 22:51 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonsoir

... et de passage, surement OTL y verrait plus clair que ZHP ?

Anonyme
 Posté le 08/01/2015 à 21:15 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Bonsoir

bernie50

  • où en êtes vous ?
  • avez vous un soucis ?

ne prenez pas cette possible infection peut être encore présente à la légère.

Australien



Modifié par Anonyme le 08/01/2015 21:15
bernie50
 Posté le 08/01/2015 à 22:12 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Fichier joint : Kapersky.txt

bernie50
 Posté le 08/01/2015 à 22:13 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonsoir,

Le logiciel vient juste d'avoir terminé plus de 4 heurs de scan, ci dessus le log

j'attends la suite de vos instructions.

A demain

Anonyme
 Posté le 08/01/2015 à 22:27 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Hello

Supprimez Kaspersky Virus Removal Tool et videz votre corbeille

pour moi et mon bazooka Kaspersky c'est bon. la bête est morte.

Si vous souhaitez aller plus loin dans les recherches avec un membre du Groupe Sécurité, vous pouvez aussi le faire.

le rapport montre des vulnérabilités, mettez à Jour Java, LibreOffice. et Chrome. (les plus graves étant Java et Chrome.)

Etat : Vulnérabilité (évênements : 6)
08/01/2015 18:19:53 Vulnérabilité vulnérabilité http://www.securelist.com/fr/advisories/5206299 C:\Program Files (x86)\Google\Chrome\Application\12.0.742.91\nacl64.dll Faibles
08/01/2015 18:20:08 Vulnérabilité vulnérabilité http://www.securelist.com/fr/advisories/5206299 C:\Program Files (x86)\Google\Chrome\Application\12.0.742.91\chrome.dll Faibles
08/01/2015 18:20:24 Vulnérabilité vulnérabilité http://www.securelist.com/fr/advisories/4762638 C:\Program Files (x86)\Java\jre6\bin\java.exe Faibles
08/01/2015 18:20:40 Vulnérabilité vulnérabilité http://www.securelist.com/fr/advisories/6097803 C:\Program Files (x86)\LibreOffice 4\program\soffice.exe Faibles
08/01/2015 18:20:41 Vulnérabilité vulnérabilité http://www.securelist.com/fr/advisories/6097803 C:\Program Files (x86)\LibreOffice 4\program\soffice.bin Faibles
08/01/2015 20:19:26 Vulnérabilité vulnérabilité http://www.securelist.com/fr/advisories/6097803 c:\program files (x86)\libreoffice 4\program\soffice.bin Faibles

par prudence supprimez votre compte limité (à la suppression, il vous sera demandé si vous voulez supprimer les fichiers personnels du compte limité, vous les supprimez) ensuite vous recréez un nouveau compte limité propre. (ce compte limité vous a sauvé la peau, mais je pense que vos contacts mails ont été volés par les malveillants, donc prévenez les de refuser tous mails louches venant de votre part, surtout ceux qui comporte une pièce jointes compressés ou un lien internet dans le corps du mail)

Certaines infections sont spécialisées dans le vol de données confidentielles (mots de passe, données ou identifiants bancaires etc...) c'est le cas pour Zbot. Il faut donc changer ses mots de passe après une telle infection et avoir une politique rigoureuse de mots de passes (mot de passe fort, différent pour chaque site utilisé).

.

.

image DelFix (de Xplode)

  • DelFix va supprimer les outils utilisés pour cette désinfection.(quarantaines comprises)
  • Téléchargez et enregistrez DelFix
  • Note: Le téléchargement démarre 5 secondes après avoir cliquer sur le lien.
  • Cliquez sur Delfix pour le lancer.
  • Vérifiez et cochez la case : "Supprimer les outils de désinfections"
  • Cliquez ensuite sur "Exécuter", Delfix va faire son travail et se supprimer lui même à l'issue.
  • Postez par copier/coller le contenu du rapport qui s'est ouvert.

.

.

image Informations


  • Vous pouvez mettre votre sujet en Résolu en cliquant sur "image Marquer comme résolu" en bas de votre dernier message.
  • Gardez le lien suivant en favori (ou marque page) et prenez le temps de le lire régulièrement, cela vous évitera bien des déboires.
  • Prévention des risques





Bon surf et prudence sur le net.

image Australien



Modifié par Anonyme le 08/01/2015 22:44
philae
 Posté le 08/01/2015 à 22:31 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grande Maîtresse astucienne

bonsoir et meilleurs voeux à tous les 2

Si vous souhaitez aller plus loin dans les recherches avec un membre du Groupe Sécurité, vous pouvez aussi le faire.

oui lequel ?

je plaisante, mais bernie50 sait très bien qu'il peut te faire confiance on sait MAINTENANT qu'il n'y a plus besoin d'être GS pur répondre aux demandes des helpers non ?

Anonyme
 Posté le 08/01/2015 à 22:37 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Bonsoir philae

bonne année, depuis le temps que l'on s'est pas vu

ben, comme Evasion60 (que je salue) est intervenu sur le sujet je me disais que peut être....le demandeur serait + rassuré.

Patrick



Modifié par Anonyme le 08/01/2015 22:38
Publicité
philae
 Posté le 08/01/2015 à 22:38 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grande Maîtresse astucienne

ravie de te croiser Patrick

ben, comme un GSest intervenu sur le sujet je me disais que peut être....le demandeur serait + rassuré.

ahhhhhhhhhh bernie50 est un grand garçon



Modifié par philae le 08/01/2015 22:39
Anonyme
 Posté le 08/01/2015 à 22:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Sur ce....

bernie50
 Posté le 09/01/2015 à 10:30 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonjour,

Merci pour votre aide

Bien qu'étant prudent (utilisation d'un compte limité et navigation saine), je me suis fait piégé par un mail vérolé

Je hausse donc d'un cran la gestion de mes courriels

j'ai mis à jour java et enlever les anciennes versions

Réinitialiser mon accès bancaire ne ligne

Mis à jour libre office

Désinstaller chrome dont je ne me sers pas

Je termine avec delfix et supprime mon compte limité

Enfin je change tout les mots de passe

merci à vous pour vos conseils et bonne journée , sitôt la procédure complète terminée je passe en résolu

bernie50
 Posté le 09/01/2015 à 11:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonjour,

J'applique la même procédure à un disque externe qui lui aussi est infecté

L'origine de l'infection vient apparemment de fichiers musicaux et vidéos



Modifié par bernie50 le 09/01/2015 11:22
Anonyme
 Posté le 09/01/2015 à 11:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien
bernie50 a écrit :

Bonjour,

J'applique la même procédure à un disque externe qui lui aussi est infecté

Bonjour

vous ne l'aviez pas connecté lors de l'analyse Kaspersky ?

si non, faites une mise à jour Malwarebytes et analysez ce DD externe, Malwarebytes détecte bien Zbot.

Suivez ce tutoriel en images pour faire une analyse "Examen Personnalisé"

Note : Pour une recherche de Rootkit, cocher aussi la case Recherche de Rootkits (le temps de l'analyse est plus long), je pense pas que ce soit nécessaire....mais dans le doute.

Australien



Modifié par Anonyme le 09/01/2015 11:32
bernie50
 Posté le 09/01/2015 à 12:27 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Non , je n'y ai pensé qu'après

Le disque dur externe a été nettoyé et kasperky rémoval n'a plus rien détecté.

Néanmoins je pense, comme ce disque ne contient pas de données importantes, je vais le formater pour repartir sur de bonnes bases

Anonyme
 Posté le 09/01/2015 à 12:30 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

OK.

si vous n'avez pas d'autres questions, vous pouvez faire la suite de ma demande.

image DelFix (de Xplode)

  • DelFix va supprimer les outils utilisés pour cette désinfection.(quarantaines comprises)
  • Téléchargez et enregistrez DelFix
  • Note: Le téléchargement démarre 5 secondes après avoir cliquer sur le lien.
  • Cliquez sur Delfix pour le lancer.
  • Vérifiez et cochez la case : "Supprimer les outils de désinfections"
  • Cliquez ensuite sur "Exécuter", Delfix va faire son travail et se supprimer lui même à l'issue.
  • Postez par copier/coller le contenu du rapport qui s'est ouvert.

.

.

image Informations


  • Vous pouvez mettre votre sujet en Résolu en cliquant sur "image Marquer comme résolu" en bas de votre dernier message.
  • Gardez le lien suivant en favori (ou marque page) et prenez le temps de le lire régulièrement, cela vous évitera bien des déboires.
  • Prévention des risques





Bon surf et prudence sur le net.

image Australien

Bon week-end



Modifié par Anonyme le 09/01/2015 12:31
bernie50
 Posté le 09/01/2015 à 12:51 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonjour,

juste une question : sur le compte admin et dans mes documents, j'ai une bonne dizaine de fichier Ntuser.dat avec une série de numéros et un fichier Nt.ini ???

je joins une image



Modifié par bernie50 le 09/01/2015 12:53
bernie50
 Posté le 09/01/2015 à 12:58 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonjour,

juste une question : sur le compte admin et dans mes documents, j'ai une bonne dizaine de fichier Ntuser.dat avec une série de numéros et un fichier Nt.ini ???

Publicité
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Les bons plans du moment PC Astuces

Tous les Bons Plans
29,72 €Carte mémoire microSDXC UHS-I SanDisk Ultra 200 Go à 29,72 € livrée
Valable jusqu'au 07 Juin

Amazon Allemagne fait une promotion sur la carte mémoire microSDHC UHS-I SanDisk Ultra 200 Go qui passe à 25,21 € avec la TVA ajustée. Comptez 4,51 € pour la livraison en France soit un total de 29,72 € livrée en France. On la trouve ailleurs à partir de 40 €. Cette carte mémoire offre des vitesses jusqu'à 90 Mo/s et est idéale pour les téléphones, caméras et appareils photo HD. Elle est certifiée GoPro, Switch et est accompagnée d'un adaptateur SD. Une très bonne affaire. 

Vous pouvez utiliser votre compte Amazon France sur Amazon Allemagne et il n'y a pas de douanes. Si vous êtes perdu en allemand, vous pouvez traduire le site en anglais.


> Voir l'offre
599,99 €Portable 14 pouces Asus Vivobook (FullHD, Ryzen 7, 8Go, SSD 256 Go) à 599,99 €
Valable jusqu'au 06 Juin

RueDuCommerce fait une promotion sur le PC portable 14 pouces Asus Vivobook S412DA-EK320T qui passe à 599,99 € alors qu'on le trouve ailleurs à partir de 749 €. Ce portable très bien équipé possède un écran 14 pouces Full HD (1920x1080) mat antireflet, un processeur AMD Ryzen 7 3700U, 8 Go de RAM, un processeur graphique AMD Radeon RX Vega 10 et un SSD de 256 Go. Le WiFi, le bluetooth sont de la partie. Notez que le clavier est rétroéclairé et que le pad peut se transformer en pavé numérique. Le tout tourne sous Windows 10. Une très bonne affaire.


> Voir l'offre
GratuitJeu PC Borderlands : The Handsome Collection gratuit
Valable jusqu'au 04 Juin

Epic Game Store offre actuellement l'excellent jeu PC Borderlands : The Handsome Collection. Dézinguez à tours de bras en explorant le monde chaotique de Pandore dans BORDERLANDS 2 et la folie lunaire de BORDERLANDS: THE PRE-SEQUEL dans BORDERLANDS: THE HANDSOME COLLECTION.


> Voir l'offre

Sujets relatifs
Infection par trojan Hupignon5.buqf
Infection Trojan.Backdoor
Infection par trojan Ramsom.win32.foreign.ecma
Infection Adware.IMBooster Trojan.BHO Trojan.FakeAlert
infection PC par trojan pup.datamngr
infection par trojan backdoor
Infection trojan signalée par kapersky
Infection Trojan.FakeAlert.
Infection :Trojan.Eorezo et PUP.BundleInstaller.BI
Infection par trojan dit de la "Gendarmerie"
Plus de sujets relatifs à Infection par trojan Zbot et pup optionnel
 > Tous les forums > Forum Sécurité